Hackers hebben enkele dagen malware toe weten te voegen aan een updatepakket van de wachtwoordmanager Passwordstate. De malware heeft vermoedelijk gegevens van besmette computers gestolen. Het wordt aangeraden om zo snel mogelijk de hotfix te installeren.
De hack kwam aan het licht toen Click Studios, de ontwikkelaar van Passwordstate, zelf melding maakte van het incident. Uit de melding blijkt blijkt dat tussen 20 en 22 april 2021 het updatesysteem van Passwordstate was gebruikt om een update uit te brengen met daarin een malafide dll-bestand, genaamd moserware.secretsplitter.dll. Dit dll-bestand probeerde contact op te nemen met een url om daar een tweede payload vandaan te downloaden.
Gestolen data
Deze tweede payload verzamelde vervolgens allerlei gegevens van de computer en stuurde deze door naar het netwerk van de hacker. Hieronder vallen: Computer Name, User Name, Domain Name, Current Process Name, Current Process Id, All running Processes name en ID, All running services name, display name en status, Passwordstate instance’s Proxy Server Address, Username en Password. Ook alle opgeslagen gegevens binnen Passwordstate werden uitgelezen en doorgestuurd, zijnde Title, UserName, Description, GenericField1, GenericField2, GenericField3, Notes, URL en Password.
Dit betekent dat de aanvaller toegang had tot alle wachtwoorden die zijn opgeslagen in het systeem van Passwordstate en nog wat meer gegevens op de geïnfecteerde computer. Omdat de wachtwoordmanager vooral door bedrijfsomgevingen werden gebruikt, betreft dit vooral wachtwoorden voor firewalls, vpn’s en bedrijfsapplicaties. Click Studios vertelt op zijn website door 29.000 bedrijven vertrouwd te worden.
Hotfix voor slachtoffers
In een tweede bericht vertelt Click Studios dat er vermoedelijk maar weinig slachtoffers zijn gevallen aan het lek, aangezien de malafide update slechts 28 uur beschikbaar was. Het bedrijf werkt er samen met zijn klanten hard aan om uit te zoeken wie de slachtoffers zijn, wat er mogelijk gestolen is en welke acties ze het beste kunnen ondernemen. Click Studios heeft een hotfix uitgebracht voor het probleem. Slachtoffers worden geadviseerd om die hotfix te installeren en alle wachtwoorden te veranderen die waren opgeslagen in Passwordstate.
Single point of failure
De aanval laat een inherent probleem zien van wachtwoordmanagers. Wachtwoordmanagers bieden een uitstekende manier om voor elke aanmelding een sterk en uniek wachtwoord te hanteren, waardoor een wachtwoordlek bij een website geen enorm probleem oplevert. Weet een aanvaller echter in te breken bij de wachtwoordmanager zelf, dan weet de aanvaller ook meteen al je wachtwoorden. De beveiliging van deze single point of failure is daarom van uitzonderlijk belang.
Tip: Microsoft Edge laat je weten of je wachtwoord op straat ligt
9 uur geleden
